El Sergas recurre a ‘hackers’ rehabilitados para simular ataques y blindar su seguridad

Los ciberataques se han multiplicado y los servicios sanitarios se han convertido en un blanco jugoso para estos delincuentes por ser un sector crítico en el que pueden hacer mucho daño además de manejar datos e información muy sensible. El ataque sufrido por el Hospital Clínic de Barcelona a principios de este año da cuenta de la gravedad de estos incidentes. Por eso el Sergas ha decidido reforzar su ciberseguridad con una estrategia en la que invertirá 10 millones de euros. Entre otras medidas, para asegurarse de que no queden brechas en sus sistemas recurrirá a consultoras externas que cuentan con expertos, que suelen ser hackers rehabilitados, que simulan ataques para detectar posibles vulnerabilidades y así atajarlas a tiempo.

Ya están en marcha inversiones por 5,4 millones de euros y la previsión es dedicar 4,3 millones más en los próximos dos años. “Con estos fondos la Xunta pretende proteger el sistema sanitario público con el objetivo de evitar ataques informáticos como, por ejemplo, el sufrido este año en el Hospital Clínic de Barcelona”, explica Sanidade. En este caso, la información del hospital fue secuestrada y provocó temporalmente la cancelación de los servicios de urgencias, de laboratorio y de farmacia y, a continuación, se hicieron públicos parte de esos datos.

Lo primero que hizo el Sergas fue hacer un estudio de vulnerabilidades para detectar los puntos de mejora. “Estábamos en una situación de seguridad media y ahora podemos decir que tenemos una situación buena”, explica el jefe del Servicio de Protección de Datos y Gestión del Servicio de Tecnologías de la Información de la Consellería de Sanidade, Jorge Prado. Sin embargo, nunca hay cero riesgos y siempre habrá brechas por las que intentarán colarse los ciberdelincuentes. Por eso, entre las medidas adoptadas dentro de esta estrategia está la de realizar pentesting, que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo.

“Simulamos nosotros mismos los ataques que nos harían y para eso lo que tienes que hacer es contratar a gente muy experta. Lo hacemos a través de servicio de consultoría porque son servicios de altísima especialización que se cotizan muy caros”, explica Jorge Prado. Se recurre a personal que tiene experiencia haciendo este tipo de ataques y que se han rehabilitado. Se busca además a expertos que tengan experiencia en distintos sectores, que vayan rotando por empresas y tengan “una visión ampliada” de por dónde pueden ir los ciberataques. “Su función es buscar las vulnerabilidades para ver cómo reaccionaría el sistema”, recalca. Para ello se hacen dos tipos de exámenes: uno interno y otro externo.

En el primero el propio Sergas da acceso al experto al sistema. “La mayor parte de los ciberataques, el 90%, suceden porque el ciberdelincuente suplanta la identidad de alguien que está autorizado a entrar dentro de la red”, explica el jefe de Protección de Datos del Sergas. El exhacker contratado por la Xunta busca entonces los fallos de seguridad desde dentro.

En el pentesting externo se analiza como acceder al sistema desde fuera. El responsable de Sanidade advierte del “sorprendente nivel de sofisticación” de los ciberdelincuentes. “El cibercrimen mueve más dinero que todas las principales actividades delictivas juntas: el narcotráfico, el tráfico de armas, de personas...”

Una de las técnicas que utilizan para orquestar ciberataques es la suplantación de identidades bien de funcionarios o de proveedores externos. Así, de forma previa pueden llegar a hacer un seguimiento a determinadas personas a través de redes sociales, de su móvil o de la información publicada en boletines oficiales. Precisamente por eso el refuerzo de las identidades digitales es otra de las medidas incluidas en la estrategia de ciberseguridad del Sergas. Los empleados de los servicios sanitarios disponen de una tarjeta con un certificado que está además protegida por una contraseña. El objetivo, según explica Jorge Prado, no es solo aumentar las garantías en los sistemas de acceso sino también que sea más fácil para los usuarios. “Queremos agilizar la identificación porque si pones unas restricciones muy fuertes te puedes encontrar con que la gente no los use”, aclara.

Además el Sergas ha adoptado medidas para restringir la ejecución de programas, que puedan instalarse sin autorización y por los que se puedan colar los ciberdelincuentes. Y se blindará frente a los ataques de denegación de servicio, que, por ejemplo, buscan hacer colapsar las webs o los sistemas informáticos.

Suscríbete para seguir leyendo